Интерпретация логов tor

Логи:

$ tor --Log notice -f /path/to/torrc
[notice] Tor v0.2.0.30 (r15956). This is experimental software. Do not rely on it for strog anonymity. (Running on [вырезано цензурой])
[notice] Initialized libevent version 1.4.3-stable using method kqueue. Good.
[notice] Opening Socks listener on 127.0.0.1:9050
[notice] No current certificate known for authority moria1; launching request.
[notice] No current certificate known for authority tor26; launching request.
[notice] No current certificate known for authority dizum; launching request.
[notice] No current certificate known for authority ides; launching request.
[notice] No current certificate known for authority gabelmoo; launching request.
[notice] No current certificate known for authority dannenberg; launching request.
[notice] I learned some more directory information, but not enough to build a circuit: We have no network-status consensus.
[notice] No current certificate known for authority moria1; launching request.
[notice] No current certificate known for authority tor26; launching request.
[notice] No current certificate known for authority dizum; launching request.
[notice] No current certificate known for authority ides; launching request.
[notice] No current certificate known for authority gabelmoo; launching request.
[notice] No current certificate known for authority dannenberg; launching request.
[warn] 0 unknown, 5 missing key, 0 good, 0 bad, 1 no signature, 4 required
[notice] No current certificate known for authority moria1; launching request.
[notice] No current certificate known for authority tor26; launching request.
[notice] No current certificate known for authority dizum; launching request.
[notice] No current certificate known for authority ides; launching request.
[notice] No current certificate known for authority gabelmoo; launching request.
[notice] No current certificate known for authority dannenberg; launching request.
[notice] I learned some more directory information, but not enough to build a circuit: We have no network-status consensus.
[notice] I learned some more directory information, but not enough to build a circuit: We have only 0/1317 usable descriptors.
[notice] I learned some more directory information, but not enough to build a circuit: We have only 96/1314 usable descriptors.
[notice] I learned some more directory information, but not enough to build a circuit: We have only 192/1314 usable descriptors.
[notice] I learned some more directory information, but not enough to build a circuit: We have only 287/1314 usable descriptors.
[notice] We now have enough directory information to build circuits.
[notice] Tor has successfully opened a circuit. Looks like client functionality is working

Это холодный старт тора, когда ещё никакой статистики нет. Адекватны ли сообщения о том, что

No current certificate known for authority xxx; launching request.

или это свидетельствует о какой-то паталогии? Ранее пользовался только версией 1.x, недавно перешёл на 2.x, так что опыта нет. Повторные запуски уже идут без подобных предупреждений. Насколько я слышал, то ключи DA уже встроены в тор, а тут получается что он их как бы запрашивает... или встроены лишь "базовые", а текущие он запрашивает? Там вроде бы еженедельно то ли продляются ключи, то ли меняются, для DA. Просветите пожалуйста, что происходит.
зы: версия 0.2.0.30, ручная связка tor+privoxy.

Комментарии

— unknown (25/08/2008 09:54)

или встроены лишь "базовые", а текущие он запрашивает? Там вроде бы еженедельно то ли продляются ключи, то ли меняются, для DA. Просветите пожалуйста, что происходит.

В новых версиях протокола Tor именно так всё и сделано. Сертификат DA не выкладывается на сервер (который могут взломать и украсть). Долгосрочные сертификаты (отпечатки которых вшиты в программу) используются для подписи краткосрочных, а краткосрочные (текущие) и используются для подписи статистики. Для того чтобы с ними работать, надо их скачать, проверить их подпись по основному сертификату и работать уже с ними.

— Гость (02/09/2008 21:16)
Спасибо!

— Гость (10/09/2008 23:46)
И ещё:

This is Privoxy 3.0.8 on localhost (127.0.0.1), port 8118, enabled 
Forwarding failure

Privoxy was unable to socks4a-forward your request http://.....onion/...html through 127.0.0.1: SOCKS request rejected or failed.

Just try again to see if this is a temporary problem, or check your forwarding settings and make sure that all forwarding servers are working correctly and listening where they are supposed to be
listening.

Как это понимать? Иногда реконнект (повторное обращение к странице) помогает, но чаще нет – из-за чего подобное может быть?

[warn] Failed to fetch rendezvous descriptor.

А это что значит?

— unknown (11/09/2008 09:11)

Failed to fetch rendezvous descriptor

Чтобы соединиться со скрытым сервисом внутри сети Tor по адресу <...>.onion, должен быть получен этот самый дескриптор, в котором описана точка встречи ("рандеву"), в результате клиент соединяется с некоторым узлом, где эта точка встречи находится в сети Tor по своей цепочке, а скрытый сервис по своей. Узел этот о них обоих ничего не знает.

Но поскольку этот механизм более комплексный и нестабильный, чем соединение с обычными сервисами, он чаще даёт сбои. И чаще помогает перестроение цепочек, запрос новых дескрипторов. Часто до скрытых сервисов дейтвительно трудно достучаться.

— unknown (12/09/2008 09:27)
По сообщениям в рассылке tor, из 1292 tor-узлов: 596 (46.13%) зеркалируют статистику (DA), но только 10 (0.77%) раздавали статистику скрытых сервисов.

Операторам узлов эту опцию нужно было включать в конфиге отдельно, что не было толком разъяснено. По мере возрастания количества скрытых сервисов, это становилось узким местом.

Сейчас просят операторов узлов включить эту опцию, чтобы довести количество зеркал хотя-бы до 10%, а затем возможно изменят код, чтобы опция зеркалирования обычной статистики, отвечала и за статистику скрытых сервисов.

— Гость (12/09/2008 12:22)
А по поводу "Privoxy was unable to socks4a-forward your request"? Это следствие того, что узел просто не найден? Или найден, но не может сокс-перенаправить?

— unknown (12/09/2008 13:38)
Ну для других узлов и не .onion адресов работает стабильно?
А если набирать вымышленный несуществующий адрес, то такая же ошибка стабильно?

Значит дело не в настройках

— SATtva (12/09/2008 13:40)
И то, и другое вместе. Tor — это такой же socks-прокси. Privoxy передаёт ему запрос на доступ к такому-то ресурсу, Tor пытается установить с ним связь, не получается, он генерирует код ошибки и возвращает её Privoxy, который и выводит сообщение о невозможности перенаправить запрос.

— Гость (12/09/2008 13:53)

Ну для других узлов и не .onion адресов работает стабильно?

В общем-то, да.

А если набирать вымышленный несуществующий адрес, то такая же ошибка стабильно?

Хм, не пробовал... потещу потом.

И то, и другое вместе.

Я к тому, что бывают и чисто privoxy-specific-глюки, когда оно падает время от времени, или начинает подолгу тупить (использую его и просто как банерорезку не под тором). Рестарт privoxy помогает.

— Гость (12/09/2008 13:55)
s/В общем-то, да./В общем-то да, для обычных узлов в инете, на которые идёт выход через тор. А вот примеров адресов с домена onion, которые вызывают проблему, не мало.../

— Гость (31/01/2009 04:18)
503
This is Privoxy 3.0.10 on myhost (127.0.0.1), port 8118, enabled
Forwarding failure

Privoxy was unable to socks4a-forward your request http://www.example.com/why_we_block.html through localhost: SOCKS request rejected or failed.

Just try again to see if this is a temporary problem, or check your forwarding settings and make sure that all forwarding servers are working correctly and listening where they are supposed to be listening.

вывод фф, что может быть не так? Уже не раз настраивал ТОР, а здесь такая лажа впервые.

— Гость (31/01/2009 16:01)
Настойки привокси смотрите, там где вы настраиваете форвард к сокс4а прокси. Возможно тор слушает не тот порт который в настройках привокси. Или что-то локально фаерволит без вопросов к пользователю.

— SATtva (31/01/2009 16:09)
Или, ещё проще, запрашиваемый веб-сайт недоступен.

— Гость (01/02/2009 16:41)
проверял, проверял все как бы внорме:
http://paste.org.ru/?38q08v – привокси конф
http://paste.org.ru/?wrwdmf – тор конф.
посмотрите плз, что там не так (
еще после установки тора у меня вывело:
useradd: неизвестный GID 100
это ничего?

— Гость (01/02/2009 16:42)

Или, ещё проще, запрашиваемый веб-сайт недоступен.

на любой сайт такая реакция

— Гость (01/02/2009 18:34)
http://paste.org.ru/?n4ndow
логи тора

— Гость (01/02/2009 18:36)
Подозрительно старый заголовок в конфиге торовском, даже с учетом того что он редко обновляется. Версия тора?

— Гость (01/02/2009 18:41)
Из логов следует, что с дата/время что-то не впорядке, тору нужно более точное совпадение с текущим.

— Гость (01/02/2009 19:38)
значит так, трабл был в том что была пролема в настройка вермени.... нужно было синхронизировать время с ntp-like клиентами, забза openNTPD и все запахало.

— Гость (02/02/2009 20:36)

нужно было синхронизировать время с ntp-like клиентами, забза openNTPD и все запахало.

У меня тоже были такие мысли/проблемы. А вдруг NTP-сервер злонамерен, и выдаст мне в нужный момент не то время, – будет ли это работать как некая маркировка уходящего в тор трафика? Техдеталями не сильно владею, но так, из общих соображений...

— Гость (03/02/2009 11:25)
Если использовать ssl3/tls при работе через тор, в момент хендшейка в составе случайных чисел (как того требует rfc), передается время в посикс формате, измеряемое в секундах с начала юникс эпохи.
Правильно реализованные демоны ntp не дергают локально время, в нужный момент, просто потому, что получили что-то новое. Они уточняют скорость с которой нужно постепенно нагонять или притормаживать часы.
Но в целом если противник терпелив и постоянно висит на ваших каналах связи (контроль одного или пары серверов без самодеятельности со стороны юзера ничего не дадут, но ntp сам по себе беззащитен), он может вероятно использовать полученную разницу во времени, наблюдая также за нужным ему ресурсом, который вы посещаете через тор. С другой стороны, в этом случае у него больше повода для более предсказуемой енд-ту-енд атаки.

В рунете был опубликован сценарий такой атаки с использованием ntp, против пользователей с vpn или с tor, более подробно и в красках. Поищите через гугол.

— Гость (03/02/2009 19:56)
Ясно, спасибо. Значит, не зря подозревал. Впрочем да, я слышал что там время переводится постепенно а если разница большая во времени то вообще не переводится пока не подстроишь близко. Так что атака скорее много менее эффективна своих альтернатив.

— Гость (11/02/2009 12:52, исправлен 11/02/2009 14:03)
используя руководство на https://www.pgpru.com/faq/anonimnostj#h41-7 хотел использовать финские exitnod , чтобы иметь постоянно финские IP
прописал в файле torrs следующее:
#ExitNodes 82.118.210.148:9001,195.218.77.78:9001
#StrictExitNodes
IP были взяты отсюда https://torstat.xenobite.eu/in..... C=FI&Directory=tor26^[link1]

Теперь тор отказывается запускаться. Логфайл пишет вот что :

ев 11 11:04:36.781 [Предупредение] Failed to parse/validate config: Invalid nickname '82.181.161.18' in ExitNodes line
фев 11 11:03:50.109 [Замечание] Tor v0.2.0.33 (r18212). This is experimental software. Do not rely on it for strong anonymity. (Running on Windows XP Service Pack 3 [workstation] {terminal services, single user})
фев 11 11:03:50.109 [Предупредение] Failed to parse/validate config: Invalid nickname '82.181.161.18' in ExitNodes line
фев 11 11:03:50.109 [Ошибка] Reading config failed--see warnings above.
фев 11 11:04:20.671 [Замечание] Tor v0.2.0.33 (r18212). This is experimental software. Do not rely on it for strong anonymity. (Running on Windows XP Service Pack 3 [workstation] {terminal services, single user})
фев 11 11:04:20.671 [Предупредение] Failed to parse/validate config: Invalid nickname '82.181.161.18' in ExitNodes line
фев 11 11:04:20.671 [Ошибка] Reading config failed--see warnings above.
фев 11 11:04:36.781 [Замечание] Tor v0.2.0.33 (r18212). This is experimental software. Do not rely on it for strong anonymity. (Running on Windows XP Service Pack 3 [workstation] {terminal services, single user})
фев 11 11:04:36.781 [Предупредение] Failed to parse/validate config: Invalid nickname '82.181.161.18' in ExitNodes line
фев 11 11:04:36.781 [Ошибка] Reading config failed--see warnings above.

Ну и т.д.. Как вылечить это безобразие и использовать всё же финские IP ?
Заранее благодарен за ответ..

— SATtva (11/02/2009 14:05)
Tor в логе вполне ясно выдал причину. В директиве ExitNodes нужно указывать не IP, а название (nickname) узла или отпечаток его ключа.

Ссылки

^[link1] https://torstat.xenobite.eu/index.php?SearchText=&CC=FI&Directory=tor26

openPGP в России

Интерпретация логов tor